تم حتى الآن اكتشاف البرامج الضارة المخفية بشكل منتظم في متجر Google Play. ومع ذلك ، اتضح أن التطبيقات الموجودة على متجر مايكروسوفت كما أنها ليست خالية من التهديدات. أعلن خبراء الأمن السيبراني من Check Point Research للتو عن اكتشاف برامج ضارة أصابت أكثر من 5000 برنامج في الأشهر الأخيرة. أجهزة كمبيوتر في عشرين دولة. ويأتي معظم الضحايا من السويد وبرمودا وإسرائيل وإسبانيا.

العشرات من التطبيقات المصابة

كان من المفترض أن يكون هناك العشرات من التطبيقات المصابة في متجر Microsoft ، بما في ذلك الألعاب الشعبية مثل “Temple Run” و “Subway Surfer” من ستة ناشرين. كانت البرامج الضارة لـ Electron-bot المضمنة فيها قادرة بشكل أساسي على التحكم في حسابات وسائل التواصل الاجتماعي فيسبوك و Google و Sound Cloud.

من بين احتمالات البرامج الضارة ، يذكر محللو Check Point ، من بين أمور أخرى:

– تسمم SEO ، أي طريقة يقوم بها مجرمو الإنترنت بإنشاء مواقع ويب ضارة واستخدام أساليب تحسين محرك البحث لعرضها بشكل بارز في نتائج البحث ؛
– النقر على الإعلان، أي توليد نقرات على الإعلانات ،
– تعزيز الحسابات على وسائل التواصل الاجتماعي
– الترويج للمنتجات عبر الإنترنتلتوليد أرباح من الإعلانات على سبيل المثال.

علاوة على ذلك ، لأن الحمل إلكترون بوت يتم تحميله ديناميكيًا ، ويمكن للمهاجمين استخدام البرامج الضارة المثبتة كباب خلفي للسيطرة الكاملة على أجهزة الكمبيوتر الخاصة بالضحايا.

لنا اختبار حلل برنامجًا ضارًا جديدًا يسمى Electron-Bot هاجم أكثر من 5000 ضحية في جميع أنحاء العالم. ينتشر Electron-Bot بسهولة عبر منصة متجر Microsoft الرسمية. يتيح إطار عمل Electron للتطبيقات الوصول إلى جميع موارد الكمبيوتر ، بما في ذلك معالجة GPU. نظرًا لأن حمولة الروبوت يتم تحميلها ديناميكيًا في وقت التشغيل ، يمكن للمهاجمين تعديل التعليمات البرمجية وتغيير سلوك الروبوتات إلى ملف تعريف عالي الخطورة. على سبيل المثال ، يمكنهم بدء المرحلة الثانية التالية وتنزيل برامج ضارة جديدة مثل برامج الفدية أو RAT. كل هذا يمكن أن يحدث دون علم الضحية. لسوء الحظ ، يجد معظم الناس أن تقييمات متجر التطبيقات يمكن الوثوق بها ، ولا يترددون في تنزيل التطبيق من هناك. ومع ذلك ، فإن الخطر موجود لأنك لا تعرف أبدًا العناصر الخبيثة التي يمكن تنزيلها. يشرح دانيال أليما ، محلل البرامج الضارة في Check Point Research.

الباحثون نقطة فحص اكتشفت أدلة على أن البرنامج الضار قد يكون مصدره بلغاريا. تم تحميل جميع المتغيرات في 2019-2022 على السحابة العامة البلغارية “mediafire.com” ، ويطلق على حساب Sound Cloud المروج له وقناة YouTube اسم “Ivaylo Yordanov” (إنه مصارع / لاعب كرة قدم بلغاري شهير) ، بينما بلغاريا هي الدولة في شفرة المصدر. تشير Check Point Research إلى أنها أبلغت Microsoft عن جميع ناشري الألعاب المرتبطين بالحملة.

هذه هي الطريقة التي يعمل بها الهجوم

تعمل حملة البرامج الضارة في الخطوات التالية:

1. يبدأ الهجوم بتثبيت تطبيق Microsoft store يتظاهر بأنه شرعي

2. بعد التثبيت ، يقوم المهاجم بتنزيل الملفات وتشغيل البرامج النصية

3. تصبح البرامج الضارة التي تم تنزيلها ثابتة على جهاز الكمبيوتر الخاص بك الضحايا من خلال التنفيذ المتكرر لأوامر مختلفة مرسلة من C & C الخاص بالمهاجم

لتجنب الاكتشاف ، يتم تحميل معظم البرامج النصية للتحكم في البرامج الضارة ديناميكيًا في وقت التشغيل من الخوادم المهاجمة. يسمح هذا للمهاجمين بتعديل حمولة البرامج الضارة وتغيير سلوك الروبوتات في أي وقت. تستخدم البرامج الضارة نظام Electron الأساسي لتقليد سلوك التصفح البشري وتجاوز أمان موقع الويب.